NET.1.1 Netzarchitektur und -design: Unterschied zwischen den Versionen
Zeile 79: | Zeile 79: | ||
; Informationssicherheitsbeauftragte (ISB) | ; Informationssicherheitsbeauftragte (ISB) | ||
Bei strategischen Entscheidungen einbeziehen | : Bei strategischen Entscheidungen einbeziehen | ||
Stellt sicher, dass die Anforderungen des Sicherheitskonzepts | : Stellt sicher, dass die Anforderungen des Sicherheitskonzepts | ||
* erfüllt und überprüft werden | :* erfüllt und überprüft werden | ||
* gemäß dem festgelegten Sicherheitskonzept | :* gemäß dem festgelegten Sicherheitskonzept | ||
== Gefährdungslage == | == Gefährdungslage == |
Version vom 4. Dezember 2024, 10:13 Uhr
NET.1.1 Netzarchitektur und -design - Baustein des IT-Grundschutz/Kompendiums
Beschreibung
Informationssicherheit als integralen Bestandteil der Netzarchitektur und des Netzdesigns etablieren
- Institutionen benötigen Datennetze
- Geschäftsbetrieb, Fachaufgaben, Informationens-/Datenaustausch, Verteilte Anwendungen, ...
- Nicht nur herkömmliche Endgeräte
- Partnernetze
- Internet
- Mobile Endgeräte
- IoT-Komponenten (Internet of Things)
- Cloud-Dienste
- Dienste für Unified Communication and Collaboration (UCC)
- Viele Endgeräte und Dienste erhöhen Risiken
- Sicheren Netzarchitektur
- Planung
- Netz durch sichere Netzarchitektur schützen
- Lokales Netz (Local Area Network, LAN)
- Wide Area Network (WAN)
- Eingeschränkt vertrauenswürdige Netze
- Hohes Sicherheitsniveau
- Zusätzliche sicherheitsrelevante Aspekte berücksichtigen
- Beispiele: Sichere Trennung verschiedener Mandanten und Gerätegruppen
- Auf Netzebene und die Kontrolle ihrer Kommunikation durch eine Firewall
- Ein weiteres wichtiges Sicherheitselement, speziell bei Clients, ist außerdem die Netzzugangskontrolle
- Grundsätzliche Anforderungen
- Netzwerkplanung
- Netzwerkaufbau
- Netzwerkbetrieb
- Architektur und Design
- Allgemeine Anforderungen
- Müssen für alle Netztechniken beachtet und erfüllt werden
- z. B. dass Zonen gegenüber Netzsegmenten immer eine physische Trennung erfordern
- Fokus
- Kabelgebundenen Netzen und Datenkommunikation
Modellierung
NET.1.1 ist auf das Gesamtnetz einer Institution inklusive aller Teilnetze anzuwenden
Abgrenzung
- Relevante Bausteine
Baustein | Bezeichnung | Beschreibung |
---|---|---|
NET.3 | Netzkomponenten | Betrieb von Netzkomponenten |
NET.2 | Funknetze | Wireless LAN (WLAN) |
SYS.1.8 | Speicherlösungen | Speichernetze (Storage Area Networks, SAN) |
NET.4.2 | VoIP | Voice over IP |
Virtual Private Cloud/Hybrid Cloud | Cloud-Computing | |
NET.1.2 | Netzmanagement | Netzmanagement |
Zuständigkeiten
Zuständigkeiten | Rollen |
---|---|
Grundsätzlich zuständig | Planende |
Weitere Zuständigkeiten | IT-Betrieb |
- Informationssicherheitsbeauftragte (ISB)
- Bei strategischen Entscheidungen einbeziehen
- Stellt sicher, dass die Anforderungen des Sicherheitskonzepts
- erfüllt und überprüft werden
- gemäß dem festgelegten Sicherheitskonzept
Gefährdungslage
Bedrohungen und Schwachstellen von besonderer Bedeutung
Schwachstelle | Beschreibung |
---|---|
Performance | Unzureichend dimensionierte Kommunikationsverbindungen |
Netzzugänge | Ist das interne Netz mit dem Internet verbunden und der Übergang nicht ausreichend geschützt |
Aufbau | Wird ein Netz unsachgemäß aufgebaut oder fehlerhaft erweitert, können unsichere Netztopologien entstehen oder Netze unsicher konfiguriert werden. |
Performance
- Unzureichend dimensionierte Kommunikationsverbindungen
- Clients nur noch eingeschränkt mit Servern kommunizieren
- Mögliche Auslöser
- Technischer Ausfall
- Denial-of-Service-(DoS)-Angriff
- Folgen
- Erhöhte Zugriffszeiten auf interne und externe Dienste
- Eingeschränkte Erreichbarkeit/nutzbar
- Wichtige Informationen sind nicht verfügbar
- Unterbrechung von Geschäftsprozessen/Produktionsprozesse
Netzzugänge
Ungenügend abgesichert
- Fehlende Firewall
- Internes Netz mit Internetanschluss ist nicht ausreichend geschützt
- Firewall nicht aktivier/falsch konfiguriert
- Angreifer
- können auf schützenswerte Informationen der Institution zugreifen (kopieren/manipulieren/verbreiten)
Aufbau
Unsachgemäßer Aufbau
- Unsichere Netztopologie
- Unsachgemäß aufgebaut
- Fehlerhafte Erweiterung
- Risiken
Angreifer können leichter
- Sicherheitslücken finden
- ins interne Netzwerk eindringen
- Informationen stehlen
- Daten manipulieren
- Produktionssysteme stören
Auch bleiben Angreifer in einem fehlerhaft aufgebauten Netz, das die Sicherheitssysteme nur eingeschränkt überwachen können, länger unerkannt
Elementare Gefährdungen
Nr. | Gefährdungen | |||
---|---|---|---|---|
G 0.9 | Ausfall oder Störung von Kommunikationsnetzen | |||
G 0.11 | Ausfall oder Störung von Dienstleistern | |||
G 0.15 | Abhören | |||
G 0.18 | Fehlplanung oder fehlende Anpassung | |||
G 0.19 | Offenlegung schützenswerter Informationen | |||
G 0.22 | Manipulation von Informationen | |||
G 0.23 | Unbefugtes Eindringen in IT-Systeme | |||
G 0.25 | Ausfall von Geräten oder Systemen | |||
G 0.27 | Ressourcenmangel | |||
G 0.29 | Verstoß gegen Gesetze oder Regelungen | |||
G 0.30 | Unberechtigte Nutzung oder Administration von Geräten und Systemen | |||
G 0.40 | Verhinderung von Diensten (Denial of Service) | |||
G 0.43 | Einspielen von Nachrichten | |||
G 0.46 | Integritätsverlust schützenswerter Informationen |
Anforderungen
Schutzbedarf | Beschreibung |
---|---|
Basis | MÜSSEN vorrangig erfüllt werden |
Standard | SOLLTEN grundsätzlich erfüllt werden |
Erhöht | Exemplarische Vorschläge |
Basis
Standard
Erhöht
Anhang
Siehe auch
Dokumentation
- Das BSI hat folgende weiterführende Dokumente zum Themenfeld Netze veröffentlicht
- Sichere Anbindung von lokalen Netzen an das Internet (ISi-LANA)
- Technische Leitlinie für organisationsinterne Telekommunikationssysteme mit erhöhtem Schutzbedarf: BSI-TL-02103 - Version 2.0
- Die International Organization for Standardization (ISO) gibt in der Norm ISO/IEC 27033 „Information technology – Security techniques — Network security — Part 1
- Overview and concepts bis Part 3: Reference networking scenarios – Threats, design techniques and control issues“ Vorgaben für die Absicherung von Netzen.